Leetcore Admin Security Blog

Gefunden: SQL Injection in HTML5 Video Player Plugin

2026-01-15T08:46:52+01:00

In unserer kleinen Webserie stellen wir regelmäßig Sicherheitslücken vor, die wir in der IT-Infrastruktur unserer Kunden identifizieren konnten – und zeigen auf, welche realen Auswirkungen diese haben können. In diesem konkreten Fall handelte es sich um ein WordPress-Plugin mit einer kritischen Sicherheitslücke. Über diese Schwachstelle wäre es einem Angreifer möglich gewesen, unautorisiert auf die Datenbank zuzugreifen. Im schlimmsten Fall hätte dies zur vollständigen Übernahme der gesamten WordPress-Installation führen können.

Was bedeutet ein erfolgreicher Angriff auf die Webseite?

Die Webseite ist häufig der erste Kontaktpunkt für Kunden – insbesondere bei IT-Dienstleistern. Nicht selten werden dort Fernwartungs- oder Support-Tools zum Download bereitgestellt. Genau hier liegt das eigentliche Risiko:

Erhält ein Angreifer die Kontrolle über die Webseite, kontrolliert er auch die dort angebotenen Dateien. Eine manipulierte oder infizierte Fernwartungssoftware könnte anschließend von Kunden ganz regulär heruntergeladen und installiert werden – ohne dass der Angriff sofort bemerkt wird.

Ein klassischer Lieferkettenangriff

In diesem Szenario sprechen wir von einem Lieferkettenangriff. Der Angriff richtet sich nicht direkt gegen das eigentliche Ziel, sondern gegen vorgelagerte oder unterstützende Systeme, denen man vertraut – oder vertrauen muss. Durch die Kompromittierung des IT-Dienstleisters könnten somit auch dessen Kunden unbemerkt infiltriert werden.

Die Sicherheitslücke im HTML5 Player hatte die Kennung: CVE-2024-1061 und ihr ID-Parameter war verwundbar: ?rest_route=/h5vp/v1/view/1&id=1'+AND+(SELECT+1+FROM+(SELECT(SLEEP(6)))a)--+-

The 'HTML5 Video Player' WordPress Plugin, version < 2.5.25 is affected by an unauthenticated SQL injection vulnerability in the 'id' parameter in the 'get_view' function.

Dieser Fall zeigt eindrücklich, wie wichtig es ist, Webanwendungen, Plugins und Abhängigkeiten regelmäßig zu prüfen und aktuell zu halten. Eine scheinbar "kleine" Schwachstelle kann schnell zu einem großflächigen Sicherheitsvorfall werden.

Cyberangriff löst Amokalarm aus.

2026-01-13T11:47:31+01:00

Ein lauter Sirenenton unterbrach die abendliche Ruhe am Samstag. Dann eine englische Durchsage: "Active shooter in progress. Lockdown now." Was am Samstagabend kurz nach 22 Uhr über weite Teile von Halle (Saale) hallte, war kein Film, keine Übung. Doch auch kein realer Notfall.

Ein Cyberkrimineller hat sich in Halle einen "Spaß" daraus gemacht, eine Amokwarnung über das Sirenensystem auszulösen. Möglicherweise hatte er Zugriff auf ein neues System, das noch nicht vollständig eingerichtet war, das aber offenbar bereits mit den echten Sirenen verbunden war.

Der Alarm begann am Samstag kurz nach 22 Uhr. Insgesamt 16 Sirenen im gesamten Stadtgebiet wurden gleichzeitig ausgelöst. Die Tonfolge dauerte rund zehn Minuten. Besonders beunruhigend: Über einzelne Anlagen war eine englischsprachige Durchsage zu hören, die vor einem laufenden Amoklauf warnte und zum sofortigen Lockdown aufforderte.

Eigentlich sollte das System nur dazu dienen, vor Hochwasser und anderen Gefahrenlagen zu warnen. Selbstverständlich wären alle Ansagen auf Deutsch erfolgt. Denkbar ist, dass das System über das Internet erreichbar war und nicht ausreichend gesichert wurde – möglicherweise durch ein Standardpasswort, das noch nicht geändert worden war.

Deshalb ist es entscheidend, stets den Überblick über alle IT-Systeme zu behalten, die aus dem Internet erreichbar sind.

Quelle: https://dubisthalle.de/sirenen-alarm-in-halle-saale-wir-gehen-derzeit-von-cyberangriff-aus-stadt-zieht-polizei-hinzu/

Gefunden: Symfony Profiler war aktiviert in produktiver Umgebung

2026-01-13T09:40:53+01:00

Symfony ist ein weit verbreitetes und leistungsfähiges PHP-Webframework, das zur Entwicklung moderner, skalierbarer und wartbarer Webanwendungen eingesetzt wird. Es bringt viele hilfreiche Werkzeuge mit, die Entwicklerinnen und Entwicklern den Alltag erleichtern und die Qualität der Software erhöhen.

Der Profiler ist ein Webtool zur Fehlersuche und zum Debugging. Er hilft dabei, Probleme in einer Anwendung schneller zu identifizieren, indem er unter anderem:

die letzten HTTP-Anfragen anzeigt
Fehlermeldungen und Exceptions darstellt
Informationen zu Sessions, Cookies und Headern liefert
Datenbankabfragen, Laufzeiten und Konfigurationen sichtbar macht

Gerade in der Entwicklungsphase ist der Profiler extrem hilfreich und spart viel Zeit bei der Analyse von Fehlern.

Sicherheitsrisiko: Öffentlicher Profiler

Wenn der Profiler allerdings öffentlich erreichbar ist - wie in diesem Fall - dann kann ein Angreifer damit jede Sitzung aller anderen produktiver Nutzer übernehmen. Es wäre für einen Angreifer einfach möglich, das Sitzungscookie eines anderen Nutzern (womöglich eines Admins) aus dem Profiler zu kopieren und damit die Sitzung des Admins zu übernehmen.

Der Angreifer wäre damit innerhalb weniger Schritte selbst Admin der Softwareanwendung. Der Profiler liefert diese Informationen ohne aktive Manipulation der Anwendung. Es handelt sich nicht um einen komplexen Hack, sondern um ein reines Ausnutzen einer Fehlkonfiguration. Deshalb sollte der Profiler auf keinen Fall in einer produktiven Umgebung erreichbar sein. Entweder den Profiler deaktivieren oder den Zugriff auf das Verzeichnis blockieren.

Wer den Profiler in einer produktiven Umgebung öffentlich zugänglich macht, ermöglicht unter Umständen Session-Hijacking und vollständige Übernahmen der Anwendung.

Debug-Tools gehören in die Entwicklung – nicht ins Internet.

KI Pentesting Tool im Test

2026-01-13T08:48:41+01:00

Es ist erstaunlich, wie groß der Hype um KI-Tools inzwischen geworden ist. Marketing und PR vermitteln den Eindruck, diese "Intelligenz" sei dem Menschen überlegen – schließlich steckt das Wort Intelligenz bereits im Namen. Die Realität sieht jedoch deutlich nüchterner aus. Zwar lassen sich mit solchen Systemen wohlklingende Texte in ansprechendem Stil erzeugen, inhaltlich sind sie jedoch – laut Studien – in mehr als der Hälfte der Fälle schlicht falsch. Von einfachen mathematischen Aufgaben ganz zu schweigen: Diese scheitern oft zuverlässig.

Auch in der Security-Welt hat der KI-Hype Einzug gehalten. Hersteller suggerieren, dass dieselbe KI, die nicht einmal zuverlässig bis 100 zählen kann, nun komplexe Sicherheitstests durchführen soll. Vor diesem Hintergrund habe ich mir das Pentesting-Tool HexStrike näher angesehen.

HexStrike AI is a revolutionary AI-powered offensive security framework that combines professional security tools with autonomous AI agents to deliver comprehensive security testing capabilities.

Das Marketing sitzt: revolutionär, professionell, autonom.

In der Praxis fällt das Bild deutlich ernüchternder aus. Im Kern handelt es sich um eine Sammlung bekannter Open-Source-Hacking-Tools, die über einige Schnittstellen mit einem Chatbot verbunden sind. Dieser wiederum kann nur einen sehr begrenzten Funktionsumfang der angebundenen Tools tatsächlich steuern.

Was alles fehlt

Im Test zeigten sich zahlreiche Lücken – insbesondere gemessen an dem Versprechen rund um "Intelligenz". Der Chatbot erfüllt seine Aufgabe so unzuverlässig, dass man sich schnell die direkte Arbeit in der Kommandozeile zurückwünscht.

Es gibt keine sinnvolle Integration oder Korrelation der Ergebnisse, die Tools lassen sich kaum oder gar nicht feinjustieren, und vor allem bleibt völlig unklar, welche Konfigurationsmöglichkeiten überhaupt existieren. Die Resultate werden ausschließlich im Chat angezeigt und lassen sich nicht sauber weiterverarbeiten. Hinzu kommt, dass das KI-System Ergebnisse gerne "vergisst", sobald die Konversation eine gewisse Länge erreicht.

Unterm Strich bleibt von der beworbenen Autonomie und Intelligenz wenig übrig.

Unsere Hacker Attack Simulation ist eine gezielt zusammengestellte Kombination aus bewährten Open-Source-Sicherheitstools und eigenen Entwicklungen, die wir tief integriert und fein abgestimmt haben. Damit bilden wir sämtliche Phasen eines realistischen Hackerangriffs ab – von der initialen Angriffsfläche bis zur Auswertung. Die gewonnenen Ergebnisse werden nicht nur gesammelt, sondern strukturiert aufbereitet und sinnvoll weiterverarbeitet.

Vor diesem Hintergrund stellte sich die Frage, ob KI-basierte Tools unser bestehendes Toolset sinnvoll erweitern oder verbessern könnten. Nach eingehender Prüfung lautet die klare Antwort: nein.

PS: Auch wir setzen künstliche Intelligenz ein – allerdings dort, wo sie tatsächlich Mehrwert liefert, etwa bei der Übersetzung unserer Texte oder Bebilderung. Die eigentliche "Intelligenz" unseres Tools stammt jedoch von Menschen: aus langjähriger Erfahrung, umfangreichen Tests in realistischen Szenarien und klar definierten Zielen.

Gefunden: Ein klassischer, aber kritischer Sicherheitsfehler

2026-01-12T07:58:35+01:00

In dieser Webserie berichten wir über reale Sicherheitsprobleme, die durch unsere Hacker Attack Simulation aufgedeckt wurden. Ziel ist es, typische Schwachstellen sichtbar zu machen, ihre Auswirkungen zu erklären und zu zeigen, warum kontinuierliche Sicherheitsüberprüfungen unverzichtbar sind.

In einem aktuellen Fall analysierten wir die Infrastruktur eines Betreibers von VR-Chat-Apps. Dabei stießen wir auf ein besonders kritisches Problem:
Der Private Key einer OpenSSL-Verschlüsselung war direkt im WebRoot des Servers abgelegt.

Da sich das WebRoot in der Regel im öffentlich zugänglichen Bereich eines Webservers befand, konnte dieser Private Key ohne Authentifizierung von überall aus dem Internet abgerufen werden. Mit dem Pfad /server.key wurde der Schlüssel direkt heruntergeladen.

Warum das so gefährlich ist

Ein Private Key ist das Herzstück jeder TLS/SSL-Verschlüsselung. Gerät er in falsche Hände, sind die Folgen gravierend:

Verschlüsselte Verbindungen können entschlüsselt werden
Angreifer können sich als legitimer Server ausgeben
Man-in-the-Middle-Angriffe werden möglich
Vertrauen in die gesamte Plattform wird untergraben

Kurz gesagt: Der Schlüssel gilt als kompromittiert, und jede darauf basierende Verschlüsselung ist nicht mehr sicher.

Wie kommt es zu solchen Fehlern?

Solche Fehler entstehen häufig durch eine Fehlkonfiguration bei der Einrichtung von HTTPS, automatisches Deployment ohne Überprüfung, Backup- oder Restore Prozesse, die sensible Daten ins Webroot schreiben. Gerade in dynamischen Umgebungen mit schnellen Release-Zyklen können solche Fehler leicht übersehen werden.

Unsere Simulation prüft Systeme aus der Perspektive eines realen Angreifers. Öffentliche Pfade, Fehlkonfigurationen und sensible Dateien im WebRoot gehören dabei zu den ersten Prüfungen. In diesem Fall konnte die Schwachstelle frühzeitig identifiziert werden, bevor ein tatsächlicher Missbrauch bekannt wurde.

In den nächsten Beiträgen dieser Serie zeigen wir weitere Beispiele aus unserer Hacker Attack Simulation und erklären, wie sich solche Risiken effektiv vermeiden lassen. Bleiben Sie dran.

Die Nutzer eines RSS-Reader können Ihre Software hiermit füttern: https://www.hackerattack.de/blog/feed.xml

Gehackte Fußgängerampel spielt fremde Audiodateien ab!

2026-01-09T14:02:57+01:00

Letztes Jahr kam es in mehreren Städten im Silicon Valley - darunter Palo Alto, Menlo Park und Redwood City - zu einem ungewöhnlichen Vorfall: Die Signale einiger Fußgängerampeln wurden manipuliert und sprachen die Passanten nun an. Statt normaler Ansagen hörten Passanten dort plötzlich AI-generierte Stimmen, die vorgaben, Elon Musk oder Mark Zuckerberg zu sein und skurrile Botschaften abzuspielen.

Die zuständige Verkehrsbehörde hatte offenbar versäumt, die werkseitig eingestellten Passwörter der Ampelsysteme zu ändern. Dadurch konnten Hacker sich über Bluetooth-Verbindungen in Reichweite mit einem Smartphone einloggen und die gespeicherten Audio-Dateien austauschen. Ein Hersteller hatte Caltrans zuvor ausdrücklich geraten, starke Passwörter zu setzen - doch dieser Hinweis wurde nicht umgesetzt.

Nachdem der Vorfall entdeckt wurde, schaltete die Verkehrsbehörde die Audio-Funktion zunächst ab, konnte sie später aber wieder aktivieren. Inzwischen wurden die Passwörter an den betroffenen Standorten geändert, und weitere gefährdete Ampeln wurden überprüft und abgesichert.

Bluetooth mit schwachem Passwort!

Moderne Ampelsysteme verwenden Bluetooth für Wartung und Updates - das beschleunigt die Wartung der Ampel. Wenn aber, wie hier, ein Standard- oder schwaches Passwort beibehalten wird, kann jeder mit einem passenden Gerät und Zugangscode das System übernehmen.

Quelle: https://padailypost.com/2025/12/29/crosswalk-signals-were-hacked-because-of-a-weak-password/

Gefunden: Roundcube Webmailer Sicherheitslücke

2026-01-08T20:28:20+01:00

In dieser Blogserie werden wir künftig Sicherheitsprobleme vorstellen, die unsere Software bei Kunden identifiziert hat. Dabei weisen wir auf kritische Sicherheitslücken und Fehlkonfigurationen hin, die potenziell zu Datenlecks führen können.

Roundcube Webmailer

Den Anfang macht der Webmailer Roundcube in der Version 1.4.11. Hier wurde ein Sicherheitsproblem festgestellt, bei dem ein Angreifer mithilfe von Cross-Site-Scripting eine manipulierte E-Mail zustellen konnte, über die ein Zugriff auf das Konto möglich war.

The exploit demonstrates how an attacker can inject malicious JavaScript in a message and take advantage of a desanitization issue when parsing the HTML inside the message, which then can be used to exfiltrate email content from the victim's inbox in this example or even take over the browser of the victim.

GitHub Proof of Concept

Der Angriff greift in dem Moment, in dem eine manipulierte E-Mail in Roundcube geöffnet und dargestellt wird. In der Folge kann der komplette Inhalt des Postfachs an den Angreifer übertragen werden.

GitHub Proof of Concept

Es sind jährlich kostenfreie Scans verfügbar!

2026-01-05T21:02:06+01:00

Als kleines Dankeschön und verspätetes Weihnachtsgeschenk erhalten alle Demo-Nutzer einmal jährlich einen kostenlosen Scan-Report.

Der Demo-Account ermöglicht pro Jahr einen kostenfreien Sicherheitsscan der registrierten Domain und bietet damit einen unkomplizierten Einblick in den aktuellen Sicherheitsstatus. Der Scan wird automatisch für die Domain der hinterlegten E-Mail-Adresse durchgeführt, sobald entsprechende Scankapazitäten verfügbar sind.

Auf diese Weise erhalten Nutzer jährlich einen detaillierten Scan-Report, der sämtliche aktuellen Features der Hacker Attack Simulation umfasst und konkrete Hinweise auf potenzielle Schwachstellen liefert – ideal, um Risiken frühzeitig zu erkennen und gezielt gegenzusteuern.

Frohes Fest! 🎄🎁

MongoBleed - Kritische Sicherheitslücke in MongoDB legt sensible Daten offen

2026-01-05T10:27:46+01:00

MongoDB hat eine schwerwiegende Sicherheitslücke mit der Kennung CVE-2025-14847 bekanntgegeben. Die Schwachstelle trägt den Namen "MongoBleed" – eine bewusste Anlehnung an Heartbleed, da auch hier sensible Speicherinhalte unbeabsichtigt preisgegeben werden können. Der Angriff ist unauthentifiziert, remote durchführbar und erfordert nur geringe technische Komplexität.

An uninitialized memory disclosure vulnerability in MongoDB Server's zlib decompression implementation allows unauthenticated remote attackers to read uninitialized heap memory. This flaw can lead to sensitive data exposure, including potentially leaked credentials, session tokens, or other sensitive information stored in memory. The vulnerability affects MongoDB Server instances with zlib compression enabled (default configuration).

Beschreibung von CVE-2025-14847

Abhängig vom Kontext und der Serverauslastung können dabei unter anderem folgende Daten offengelegt werden:

Verbindungsinformationen
Zugangsdaten (z. B. Benutzername/Passwort-Fragmente)
Datenbankinhalte oder Teile davon
Interne Metadaten des MongoDB Servers

Der Angriff ist remote ausführbar, hat eine geringe Komplexität und funktioniert ohne Authentifizierung. Das macht die Lücke besonders attraktiv für automatisierte Scans und Massenangriffe. Ein erfolgreicher Exploit kann zur Exfiltration sensibler Daten führen und im schlimmsten Fall als Ausgangspunkt für weitergehende Angriffe dienen, etwa durch Credential-Reuse oder gezielte Datenmanipulation.

Eine produktive MongoDB-Instanz sollte grundsätzlich nicht öffentlich erreichbar sein. Ist dies ausnahmsweise erforderlich, muss der Zugriff durch Firewall-Regeln abgesichert und ein zeitnahes Patchen sichergestellt werden.

Proof of Concept Exploit: https://github.com/joe-desimone/mongobleed/tree/main

Neues Feature: PDF-Report als White-Label

2025-12-14T11:57:04+01:00

Gute Neuigkeiten für alle, die ihre Sicherheitsprozesse weiter automatisieren möchten: Die White-Label-Funktion steht ab sofort auch über die API zur Verfügung. Damit lassen sich Reports vollständig im eigenen Corporate Design generieren und nahtlos in bestehende Systeme integrieren.

Zusätzlich können abgeschlossene Scanvorgänge nun direkt als PDF-Report heruntergeladen werden. Der bestehende API-Endpunkt für Scan-Reports liefert ab sofort nicht nur strukturierte Daten, sondern auch die automatisch generierten PDF-Dateien aus.

Das Ergebnis: weniger manueller Aufwand, konsistente Reports und eine noch einfachere Weiterverarbeitung – ideal für Kundenberichte, Management-Briefings oder Compliance-Nachweise.

Hier geht es zur API-Dokumentation: https://www.hackerattack.de/api.html